Configuração do Xray VLESS Reality: um guia passo a passo
O VLESS Reality é uma forma de rodar um proxy criptografado que, para qualquer coisa observando a rede, parece uma visita comum a um site de verdade. Ele combina o transporte leve VLESS do Xray com o handshake REALITY, que toma emprestada a impressão digital TLS de um site genuíno para que a inspeção profunda de pacotes não tenha nada a marcar. A configuração leva um servidor pequeno e cerca de quinze minutos.
Resposta curta: você aluga um servidor fora da rede filtrada, instala o Xray nele, ativa um inbound VLESS com segurança REALITY e importa o link gerado em um app cliente. O REALITY faz a parte difícil: ele torna o handshake TLS do seu servidor indistinguível do de um site real e popular, e é por isso que essa combinação ainda passa onde ferramentas mais antigas são bloqueadas.
Pontos principais
- O VLESS é o transporte sem firulas do Xray. Por conta própria ele não carrega criptografia nenhuma, então é sempre combinado com uma camada de segurança — aqui, o REALITY.
- O REALITY é o truque que importa: ele faz o seu servidor apresentar o handshake TLS de um site real de terceiros, derrotando tanto a impressão digital quanto a sondagem ativa sem precisar do seu próprio domínio ou certificado.
- Isto é auto-hospedado. Você precisa do seu próprio servidor (um VPS barato) em um local que não seja filtrado — não há conta para se cadastrar.
- Dois caminhos comuns de configuração: o painel web 3x-ui (o mais fácil) ou uma config do Xray escrita à mão (mais controle). Os dois são abordados abaixo.
- Ele é poderoso, mas é seu para tocar: um servidor, sem failover e manutenção contínua são os custos reais.
O que o VLESS Reality realmente é
Três peças se empilham, e ajuda separá-las.
O Xray (Xray-core) é o motor do proxy — um descendente ativamente mantido do projeto V2Ray. Ele fala vários protocolos; o VLESS é um deles.
O VLESS é um protocolo de transporte deliberadamente mínimo. O nome sinaliza o que ele deixa de fora: onde o protocolo mais antigo VMess fazia a própria criptografia e a autenticação baseada em timestamp, o VLESS abre mão de tudo isso e não carrega criptografia própria nenhuma. Isso soa como um retrocesso até você ver o ponto. Ao ficar fora do caminho, o VLESS deixa uma camada de segurança dedicada fazer a criptografia, com menos sobrecarga e uma assinatura mais limpa na rede.
O REALITY é essa camada de segurança, e é a razão pela qual essa configuração vale o trabalho. O problema que ele resolve é específico. Um proxy TLS normal tem que apresentar um certificado, e um certificado é uma impressão digital. Certificados autoassinados parecem suspeitos; um certificado para o seu próprio domínio atrela o servidor a você e pode ser enumerado. Pior, os sistemas de censura fazem sondagens ativas: eles mesmos se conectam a um servidor suspeito para ver como ele se comporta. A maioria dos disfarces falha nesse teste.
A resposta do REALITY é parar de fingir e começar a tomar emprestado. Em vez de servir o seu próprio certificado, o seu servidor completa um handshake TLS 1.3 real usando a identidade de um site genuíno e popular que você indica. Um cliente autorizado — um que tenha a sua chave pública e um short ID correspondente — é direcionado para dentro do proxy. Qualquer outro, incluindo um sondador do governo, é encaminhado de forma transparente para aquele site real e vê o certificado real e válido dele. Não há anomalia a detectar, porque, para um observador externo, a conexão é uma conexão real a um site real.
Se você quer o contexto mais amplo de por que ferramentas assim existem, como Irã, Rússia e China bloqueiam VPNs aborda os sistemas de inspeção profunda de pacotes e de sondagem ativa que o REALITY foi construído para sobreviver.
O que você precisa antes de começar
- Um VPS (servidor virtual privado) em um local que não esteja atrás do firewall que você está tentando atravessar. Qualquer instância pequena rodando um Debian ou Ubuntu recente serve.
- Acesso SSH a esse servidor, como root ou um usuário sudo.
- Cerca de quinze minutos.
Uma coisa de que você não precisa é do seu próprio nome de domínio ou de um certificado TLS. Remover esse requisito é a principal conveniência do REALITY, e boa parte do motivo pelo qual essa configuração é mais rápida de subir do que os proxies de TLS-e-domínio que vieram antes.
Configuração, caminho A: o painel 3x-ui
Se você prefere clicar a editar JSON, o painel 3x-ui é o caminho mais comum, e ele gera as chaves para você. Os passos numerados:
- Pegue um VPS e conecte. Crie o servidor com o seu provedor, depois entre por SSH:
ssh root@your-server-ip. - Rode o script de instalação. Cole o instalador de uma linha do README do projeto 3x-ui. Ele instala o painel e o Xray, e imprime um endereço de painel, uma porta e um login.
- Faça login e proteja. Abra a URL do painel em um navegador e entre. Mude imediatamente o nome de usuário, a senha e o caminho do painel padrão — um painel exposto com credenciais padrão é a forma mais comum de essas configurações serem comprometidas.
- Crie o inbound. Adicione um novo inbound, defina o protocolo como VLESS e defina a Segurança como REALITY.
- Deixe o painel preencher a criptografia. Use os botões para gerar o UUID, o par de chaves x25519 e um short ID. Para o destino e o SNI, escolha um site real que atenda aos critérios na seção abaixo.
- Exporte e importe. Salve, depois copie o link de compartilhamento ou escaneie o código QR no seu app cliente. Esse único link contém tudo o que o cliente precisa.
Esse é o fluxo inteiro. O painel está fazendo exatamente o que o caminho manual faz; ele só esconde o arquivo de configuração.
Configuração, caminho B: config do Xray à mão
O caminho manual te dá mais controle e nenhuma peça móvel extra. Você vai rodar dois comandos para gerar credenciais e depois escrever um arquivo de configuração.
- Instale o Xray-core. Use o instalador oficial do projeto XTLS Xray-core. Ele coloca o binário e um serviço systemd no servidor.
- Gere credenciais. Rode
xray uuidpara um ID de cliente, depoisxray x25519para um par de chaves. Mantenha a chave privada no servidor; a chave pública vai para os seus clientes. - Escreva a config. Um inbound VLESS mínimo com REALITY se parece com isto:
{ "inbounds": [{ "port": 443, "protocol": "vless", "settings": { "clients": [{ "id": "PASTE-UUID", "flow": "xtls-rprx-vision" }], "decryption": "none" }, "streamSettings": { "network": "tcp", "security": "reality", "realitySettings": { "dest": "example.com:443", "serverNames": ["example.com"], "privateKey": "PASTE-PRIVATE-KEY", "shortIds": ["", "0123abcd"] } } }], "outbounds": [{ "protocol": "freedom" }] } - Reinicie e verifique. Reinicie o serviço do Xray e confirme que ele está escutando na porta 443.
- Monte o link do cliente. Monte a URL de compartilhamento a partir do UUID, da sua chave pública, de um short ID e do SNI. A maioria das pessoas gera isto uma vez e reutiliza.
Alguns campos fazem por merecer aqui. O flow definido como xtls-rprx-vision ativa o XTLS Vision, que corta a criptografia dobrada de tunelar TLS dentro de TLS, então ele é ao mesmo tempo mais rápido e mais silencioso. dest e serverNames são a identidade emprestada. privateKey faz par com a chave pública que o seu cliente tem, e shortIds permite a um servidor distinguir os clientes.
Escolher um "dest" — a única decisão que importa
O site de destino que você toma emprestado é a diferença entre passar despercebido e se destacar. Mire em um site que:
- Suporte TLS 1.3 e HTTP/2 (o REALITY precisa de um handshake moderno para imitar).
- Não esteja já bloqueado onde os seus clientes estão — você está se escondendo dentro do tráfego dele, então ele tem que estar acessível.
- Esteja hospedado fora do seu próprio país e não seja incomum de alguém de lá visitar.
- Não seja o seu próprio domínio, e não seja um host minúsculo ou obscuro que pareceria estranho como destino.
Acerte nisto e o tráfego do seu servidor é estatisticamente sem graça. Erre — um site bloqueado, ou um que não suporta de verdade o handshake que você está alegando — e você se tornou mais conspícuo, não menos.
Conectando um cliente
O mesmo link de conexão funciona entre plataformas; você o importa para o cliente que combinar com o seu dispositivo.
- Windows / Linux: v2rayN e clientes de desktop semelhantes.
- Android: v2rayNG.
- iOS: apps que suportam VLESS com REALITY e o flow Vision — Shadowrocket, Streisand e V2Box são escolhas comuns. Cole o link ou escaneie o QR.
Seja o que for que você use, faça uma verificação rápida depois de conectar: confirme que o seu IP público mudou para o do servidor, e que o DNS não está vazando por fora do túnel. Um proxy que vaza em silêncio derrota o propósito.
No que ele é bom — e os seus limites reais
A versão honesta do argumento é curta. O VLESS Reality é, hoje, uma das formas mais confiáveis de tirar uma conexão de uma rede fortemente filtrada. Ele derrota a sondagem ativa que pega ferramentas mais simples, não precisa de domínio ou certificado, e com o Vision o custo de desempenho é pequeno. Para o problema da censura especificamente, ele é excelente.
Mas a auto-hospedagem é uma troca, não um almoço grátis, e os custos vale dizer sem rodeios:
- É um ponto único de falha. Um servidor, um endereço de IP. Se esse IP for bloqueado, ou o seu provedor marcar a instância, você fica fora do ar sem failover até reconstruir em outro lugar.
- Você é o operador. Aplicar patches no sistema, atualizar o Xray, manter as chaves e o painel seguros: esse trabalho não para. Um painel desatualizado ou uma senha padrão reutilizada é um risco real, não hipotético.
- A cobertura depende do cliente. Rotear um dispositivo inteiro, lidar com o DNS e se comportar de forma segura quando o túnel cai são tarefa do cliente aqui, e os clientes variam. Uma VPN completa padroniza esse comportamento; uma configuração de proxy deixa mais disso por sua conta. Esse contraste é o cerne de Shadowsocks vs uma VPN.
- O disfarce também precisa de manutenção. Um destino emprestado que é bloqueado, ou um cliente que fica para trás em relação ao protocolo, pode transformar uma configuração silenciosa em barulhenta.
Há também uma abordagem paralela que vale conhecer. O REALITY esconde um proxy imitando um site; o mundo do WireGuard responde ao mesmo problema de inspeção profunda de pacotes pelo lado da VPN, remodelando o próprio protocolo, que é o assunto de AmneziaWG vs WireGuard. E se você quer primeiro a comparação de base desses protocolos de túnel, WireGuard vs OpenVPN vs IKEv2 expõe as trocas.
Perguntas frequentes
O que é o VLESS Reality? É a combinação de duas coisas no Xray: o VLESS, um protocolo de transporte leve que carrega o seu tráfego, e o REALITY, uma camada de segurança que disfarça a conexão como uma visita TLS normal a um site real. Juntos, eles formam um proxy difícil de os sistemas de censura detectarem ou sondarem.
O VLESS Reality é criptografado? Sim — mas não pelo VLESS. O VLESS em si não carrega criptografia. A criptografia vem da sessão TLS 1.3 genuína que o REALITY estabelece, que é a mesma criptografia moderna que protege o HTTPS comum. Então o seu tráfego é criptografado; a criptografia só mora na camada REALITY em vez de no transporte.
O que significa "VLESS"? É um protocolo de transporte da família V2Ray/Xray, projetado como um sucessor mais leve do VMess. O nome aponta para o que ele remove: ele faz menos, mais notavelmente abrindo mão da criptografia embutida e da autenticação por timestamp que o VMess carregava. Esse minimalismo é o recurso — ele deixa a criptografia para o TLS ou o REALITY e mantém a sobrecarga e as assinaturas baixas.
O VLESS é melhor que o VMess? Para uma configuração furtiva moderna, normalmente sim. O VLESS é mais leve e pode usar o flow XTLS Vision, que o VMess não pode, e ele faz par de forma limpa com o REALITY. O VMess ainda funciona e tem a sua própria criptografia embutida, mas o handshake dele é mais fácil de receber impressão digital, que é exatamente o que você está tentando evitar em uma rede filtrada.
O VLESS Reality é grátis? O software é — o Xray e o REALITY são código aberto, sem custo. O que você paga é o servidor em que ele roda. Desconfie de configs públicas "grátis" compartilhadas online: usar uma significa rotear todo o seu tráfego pelo servidor de um estranho, com o mesmo problema de confiança de qualquer proxy grátis.
Conclusão
- O VLESS Reality é um proxy furtivo auto-hospedado: o transporte VLESS do Xray mais o handshake REALITY, que disfarça o servidor como um site real.
- Ele derrota a impressão digital e a sondagem ativa que bloqueiam ferramentas mais simples, e não precisa do seu próprio domínio ou certificado.
- A configuração é um VPS e uma config curta (seja pelo painel 3x-ui ou por um arquivo escrito à mão), e a escolha mais importante de todas é o site de destino que você toma emprestado.
- O custo é a propriedade: um servidor, sem failover e a manutenção que vem com rodar a sua própria infraestrutura.
Rodar o seu próprio servidor VLESS Reality te dá controle total, ao custo de ser quem o mantém com patches, pago e vivo. Se você está no iPhone e preferiria ter uma conexão WireGuard ofuscada que você não precise operar — sem servidor para alugar, sem chaves para rotacionar, sem e-mail ou conta —, é esse o lado para o qual a Snap VPN foi construída, e ela está na App Store.